AWS - VPC & Networking Basic Information
Last updated
Last updated
VPC sadrži mrežni CIDR poput 10.0.0.0/16 (sa svojom tabelom rutiranja i mrežnim ACL).
Ova VPC mreža je podeljena u podmreže, tako da je podmreža direktno povezana sa VPC-om, tabelom rutiranja i mrežnim ACL.
Zatim, Mrežni interfejsi povezani sa uslugama (poput EC2 instanci) su povezani sa podmrežama sa sigurnosnom grupom(ama).
Stoga, sigurnosna grupa će ograničiti izložene portove mrežnih interfejsa koji je koriste, nezavisno od podmreže. A mrežni ACL će ograničiti izložene portove celoj mreži.
Osim toga, kako bi se pristupilo Internetu, postoje neke zanimljive konfiguracije koje treba proveriti:
Podmreža može automatski dodeljivati javne IPv4 adrese
Instanca kreirana u mreži koja automatski dodeljuje IPv4 adrese može dobiti jednu
Internet gateway mora biti povezan sa VPC-om
Takođe možete koristiti Egress-only internet gateways
Takođe možete imati NAT gateway u privatnoj podmreži tako da je moguće povezati se sa spoljnim uslugama iz te privatne podmreže, ali nije moguće doći do njih spolja.
NAT gateway može biti javna (pristup internetu) ili privatna (pristup drugim VPC-ima)
Amazon Virtual Private Cloud (Amazon VPC) omogućava vam da pokrenete AWS resurse u virtuelnoj mreži koju ste definisali. Ova virtuelna mreža će imati nekoliko podmreža, Internet Gateway-e za pristup Internetu, ACL-ove, sigurnosne grupe, IP adrese...
Podmreže pomažu u sprovođenju većeg nivoa sigurnosti. Logičko grupisanje sličnih resursa takođe vam pomaže da održavate lakšu upravu preko vaše infrastrukture.
Validni CIDR su od /16 netmask do /28 netmask.
Podmreža ne može biti u različitim dostupnim zonama istovremeno.
AWS rezerviše prve tri IP adrese hosta svake podmreže za internu AWS upotrebu: prva adresa hosta se koristi za VPC ruter. Druga adresa je rezervisana za AWS DNS, a treća adresa je rezervisana za buduću upotrebu.
Nazivaju se javne podmreže one koje imaju direktan pristup Internetu, dok privatne podmreže to nemaju.
Tabele rutiranja određuju rutiranje saobraćaja za podmrežu unutar VPC-a. One određuju koji mrežni saobraćaj se prosleđuje ka Internetu ili ka VPN vezi. Obično ćete imati pristup:
Lokalnom VPC-u
NAT-u
Internet Gateway-ima / Egress-only Internet gateway-ima (potrebno za davanje VPC-u pristup Internetu).
Da biste napravili podmrežu javnom, morate kreirati i povezati Internet gateway sa vašim VPC-om.
VPC endpointi (za pristup S3 iz privatnih mreža)
Na sledećim slikama možete proveriti razlike između podrazumevane javne mreže i privatne:
Kontrole pristupa mreži (ACL-ovi): ACL-ovi su firewall pravila koja kontrolišu dolazni i odlazni mrežni saobraćaj ka podmreži. Mogu se koristiti za dozvoljavanje ili zabranjivanje saobraćaja ka određenim IP adresama ili opsezima.
Najčešće se dozvoljava/zabranjuje pristup korišćenjem sigurnosnih grupa, ali ovo je jedini način da se potpuno prekinu uspostavljene reverzne veze. Modifikovano pravilo u sigurnosnim grupama ne zaustavlja već uspostavljene veze
Međutim, ovo se odnosi na celu podmrežu, budite oprezni kada zabranjujete stvari jer potrebne funkcionalnosti mogu biti poremećene
Bezbednosne grupe su virtuelni firewall koji kontroliše dolazni i odlazni mrežni saobraćaj ka instancama u VPC-u. Veza 1 SG do M instanci (obično 1 prema 1). Obično se koristi za otvaranje opasnih portova na instancama, kao što je na primer port 22:
Elastična IP adresa je statička IPv4 adresa dizajnirana za dinamično računarstvo u oblaku. Elastična IP adresa se dodeljuje vašem AWS nalogu i vaša je sve dok je ne oslobodite. Korišćenjem elastične IP adrese, možete prikriti kvar instance ili softvera brzim preusmeravanjem adrese na drugu instancu u vašem nalogu.
Podrazumevano, sve podmreže imaju automatsko dodeljivanje javnih IP adresa isključeno, ali se može uključiti.
Lokalni put unutar tabele ruta omogućava komunikaciju između VPC podmreža.
Ako povezujete podmrežu sa drugom podmrežom, ne možete pristupiti povezanim podmrežama sa druge podmreže, morate se direktno povezati sa njima. Ovo takođe važi i za internet kapije. Ne možete proći kroz povezivanje podmreža da biste pristupili internetu, morate dodeliti internet kapiju vašoj podmreži.
VPC peering vam omogućava da povežete dve ili više VPC-ova zajedno, koristeći IPV4 ili IPV6, kao da su deo iste mreže.
Kada se uspostavi peer konektivnost, resursi u jednom VPC-u mogu pristupiti resursima u drugom. Konektivnost između VPC-ova je implementirana kroz postojeću AWS mrežnu infrastrukturu, tako da je visoko dostupna bez ograničenja propusnog opsega. Pošto povezane veze funkcionišu kao da su deo iste mreže, postoje ograničenja kada su u pitanju opsezi CIDR blokova koji se mogu koristiti. Ako imate preklapajuće ili duplicirane CIDR opsege za vaše VPC-ove, onda nećete moći povezati VPC-ove zajedno. Svaki AWS VPC će samo komunicirati sa svojim peer-om. Na primer, ako imate peer konekciju između VPC 1 i VPC 2, i još jednu konekciju između VPC 2 i VPC 3 kao što je prikazano, tada bi VPC 1 i 2 mogli direktno komunicirati jedan sa drugim, kao i VPC 2 i VPC 3, međutim, VPC 1 i VPC 3 ne bi mogli. Ne možete rutirati kroz jedan VPC da biste došli do drugog.
Unutar vašeg VPC-a, mogli biste imati stotine ili čak hiljade resursa koji komuniciraju između različitih podmreža, kako javnih tako i privatnih, kao i između različitih VPC-ova putem VPC peering konekcija. VPC Flow Logs vam omogućavaju da zabeležite informacije o IP saobraćaju koji protiče između mrežnih interfejsa vaših resursa unutar vašeg VPC-a.
Za razliku od S3 pristupnih logova i CloudFront pristupnih logova, podaci o logovima generisani VPC Flow Logs nisu smešteni u S3. Umesto toga, zabeleženi podaci o logovima se šalju CloudWatch logovima.
Ograničenja:
Ako koristite VPC peer konekciju, tada ćete moći videti flow logove peer-ovanih VPC-ova koji su unutar istog naloga.
Ako još uvek koristite resurse unutar EC2-Classic okruženja, nažalost nećete moći dobiti informacije sa njihovih interfejsa.
Kada je jednom kreiran VPC Flow Log, ne može se menjati. Da biste promenili konfiguraciju VPC Flow Loga, morate ga obrisati i zatim ponovo kreirati novi.
Sledeći saobraćaj nije praćen i zabeležen logovima. DHCP saobraćaj unutar VPC-a, saobraćaj sa instanci namenjen Amazon DNS serveru.
Bilo koji saobraćaj namenjen IP adresi za VPC podrazumevanog rutera i saobraćaj ka i od sledećih adresa, 169.254.169.254 koja se koristi za prikupljanje metapodataka instance, i 169.254.169.123 koja se koristi za Amazon Time Sync servis.
Saobraćaj koji se odnosi na aktivacionu licencu Amazon Windows-a sa Windows instance
Saobraćaj između interfejsa mrežnog balansera i interfejsa krajnje tačke mreže
Za svaki mrežni interfejs koji objavljuje podatke u CloudWatch log grupu, koristiće se različiti log stream. A unutar svake od ovih struja, biće podaci o događajima flow loga koji prikazuju sadržaj log unosa. Svaki od ovih logova beleži podatke tokom prozora od otprilike 10 do 15 minuta.
Korisnička kapija:
Korisnička kapija je resurs koji kreirate u AWS-u da predstavlja vašu stranu VPN konekcije.
To je suštinski fizički uređaj ili softverska aplikacija na vašoj strani Site-to-Site VPN konekcije.
Prilažete informacije o rutiranju i javnu IP adresu vašeg mrežnog uređaja (kao što je ruter ili firewall) AWS-u da biste kreirali Korisničku kapiju.
Služi kao referentna tačka za postavljanje VPN konekcije i ne generiše dodatne troškove.
Virtualna privatna kapija:
Virtualna privatna kapija (VPG) je VPN koncentrator na Amazon strani Site-to-Site VPN konekcije.
Povezana je sa vašim VPC-om i služi kao cilj za vašu VPN konekciju.
VPG je AWS strana krajnja tačka za VPN konekciju.
Obradjuje sigurnu komunikaciju između vašeg VPC-a i vaše lokalne mreže.
Site-to-Site VPN Konekcija:
Site-to-Site VPN konekcija povezuje vašu lokalnu mrežu sa VPC-om putem sigurnog, IPsec VPN tunela.
Ovaj tip konekcije zahteva Korisničku kapiju i Virtualnu privatnu kapiju.
Koristi se za sigurnu, stabilnu i doslednu komunikaciju između vašeg data centra ili mreže i vašeg AWS okruženja.
Obično se koristi za redovne, dugoročne konekcije i naplaćuje se na osnovu količine prenetih podataka preko konekcije.
Klijentska VPN krajnja tačka:
Klijentska VPN krajnja tačka je resurs koji kreirate u AWS-u da omogućite i upravljate klijentskim VPN sesijama.
Koristi se za omogućavanje pojedinačnim uređajima (kao što su laptopovi, pametni telefoni, itd.) da sigurno se povežu sa AWS resursima ili vašom lokalnom mrežom.
Razlikuje se od Site-to-Site VPN-a po tome što je dizajniran za pojedinačne klijente umesto za povezivanje celih mreža.
Sa Klijentskim VPN-om, svaki klijentski uređaj koristi VPN klijentski softver za uspostavljanje sigurne veze.
Povežite vašu lokalnu mrežu sa vašim VPC-om.
VPN konekcija: Sigurna veza između vaše opreme na lokaciji i vaših VPC-ova.
VPN tunel: Enkriptovana veza preko koje podaci mogu prolaziti između mreže klijenta i AWS-a.
Svaka VPN konekcija uključuje dva VPN tunela koje možete istovremeno koristiti za visoku dostupnost.
Korisnička kapija: AWS resurs koji pruža informacije AWS-u o uređaju vaše korisničke kapije.
Uređaj korisničke kapije: Fizički uređaj ili softverska aplikacija na vašoj strani Site-to-Site VPN konekcije.
Virtualna privatna kapija: VPN koncentrator na Amazon strani Site-to-Site VPN konekcije. Koristite virtualnu privatnu kapiju ili tranzitnu kapiju kao kapiju za Amazon stranu Site-to-Site VPN konekcije.
Tranzitna kapija: Tranzitni hub koji se može koristiti za međusobno povezivanje vaših VPC-ova i lokalnih mreža. Koristite tranzitnu kapiju ili virtualnu privatnu kapiju kao kapiju za Amazon stranu Site-to-Site VPN konekcije.
IPv6 saobraćaj nije podržan za VPN veze na virtuelnoj privatnoj kapiji.
AWS VPN veza ne podržava otkrivanje putanje MTU.
Pored toga, uzmi u obzir sledeće kada koristiš Site-to-Site VPN.
Poveži se sa svoje mašine na svoju VPC
Klijentska VPN krajnja tačka: Resurs koji kreirate i konfigurišete kako biste omogućili i upravljali klijentskim VPN sesijama. To je resurs gde se završavaju sve klijentske VPN sesije.
Ciljna mreža: Ciljna mreža je mreža koju povezujete sa klijentskom VPN krajnjom tačkom. Podmreža iz VPC-a je ciljna mreža. Povezivanje podmreže sa klijentskom VPN krajnjom tačkom omogućava vam uspostavljanje VPN sesija. Možete povezati više podmreža sa klijentskom VPN krajnjom tačkom radi visoke dostupnosti. Sve podmreže moraju biti iz istog VPC-a. Svaka podmreža mora pripadati različitoj dostupnoj zoni.
Ruta: Svaka klijentska VPN krajnja tačka ima tabelu ruta koja opisuje dostupne rute odredišnih mreža. Svaka ruta u tabeli ruta specificira put za saobraćaj ka određenim resursima ili mrežama.
Pravila autorizacije: Pravilo autorizacije ograničava korisnike koji mogu pristupiti mreži. Za određenu mrežu, konfigurišete grupu Active Directory-a ili provajdera identiteta (IdP) kojoj je dozvoljen pristup. Samo korisnici koji pripadaju ovoj grupi mogu pristupiti određenoj mreži. Podrazumevano, nema pravila autorizacije i morate konfigurisati pravila autorizacije da biste omogućili korisnicima pristup resursima i mrežama.
Klijent: Korisnik koji se povezuje sa klijentskom VPN krajnjom tačkom radi uspostavljanja VPN sesije. Korisnici treba da preuzmu OpenVPN klijent i koriste konfiguracioni fajl klijentske VPN krajnje tačke koji ste kreirali radi uspostavljanja VPN sesije.
Opseg klijentske CIDR mreže: Opseg IP adresa iz kojeg se dodeljuju IP adrese klijentima. Svaka veza sa klijentskom VPN krajnjom tačkom dobija jedinstvenu IP adresu iz opsega klijentske CIDR mreže. Vi birate opseg klijentske CIDR mreže, na primer, 10.2.0.0/16
.
Portovi klijentske VPN: AWS klijentska VPN podržava portove 443 i 1194 za TCP i UDP. Podrazumevani je port 443.
Mrežni interfejsi klijentske VPN: Kada povežete podmrežu sa svojom klijentskom VPN krajnjom tačkom, mi kreiramo mrežne interfejse klijentske VPN u toj podmreži. Saobraćaj koji se šalje ka VPC-u sa klijentske VPN krajnje tačke se šalje preko mrežnog interfejsa klijentske VPN. Zatim se primenjuje prevođenje adrese izvora mreže (SNAT), gde se IP adresa iz opsega klijentske CIDR mreže prevodi u IP adresu mrežnog interfejsa klijentske VPN.
Logovanje veza: Možete omogućiti logovanje veza za svoju klijentsku VPN krajnju tačku kako biste beležili događaje veza. Možete koristiti ove informacije za forenziku, analizu kako se koristi vaša klijentska VPN krajnja tačka ili za rešavanje problema sa vezom.
Portal za samoposluživanje: Možete omogućiti portal za samoposluživanje za svoju klijentsku VPN krajnju tačku. Klijenti mogu da se prijave na web portal koristeći svoje akreditive i preuzmu najnoviju verziju konfiguracionog fajla klijentske VPN krajnje tačke, ili najnoviju verziju klijenta koju je obezbedio AWS.
Opsezi klijentske CIDR mreže ne smeju se preklapati sa lokalnim CIDR-om VPC-a u kojem se nalazi povezana podmreža, ili sa bilo kojim ručno dodatim rutama u tabelu ruta klijentske VPN krajnje tačke.
Opsezi klijentske CIDR mreže moraju imati veličinu bloka najmanje /22 i ne smeju biti veći od /12.
Deo adresa u opsegu klijentske CIDR mreže se koristi za podršku modelu dostupnosti klijentske VPN krajnje tačke, i ne mogu biti dodeljeni klijentima. Stoga preporučujemo da dodelite CIDR blok koji sadrži dvostruko više IP adresa nego što je potrebno da biste omogućili maksimalan broj istovremenih veza koje planirate da podržite na klijentskoj VPN krajnjoj tački.
Opseg klijentske CIDR mreže se ne može promeniti nakon što kreirate klijentsku VPN krajnju tačku.
Podmreže povezane sa klijentskom VPN krajnjom tačkom mora biti u istom VPC-u.
Ne možete povezati više podmreža iz iste dostupne zone sa klijentskom VPN krajnjom tačkom.
Klijentska VPN krajnja tačka ne podržava povezivanje podmreža u VPC-u sa posvećenim zakupom.
Klijentska VPN podržava samo IPv4 saobraćaj.
Klijentska VPN nije u skladu sa Federalnim standardima za obradu informacija (FIPS).
Ako je višefaktorska autentifikacija (MFA) onemogućena za vaš Active Directory, korisnička lozinka ne može biti u sledećem formatu.
Portal za samoposluživanje nije dostupan za klijente koji se autentifikuju korišćenjem međusobne autentifikacije.